docker containers icm nginx en kpn

Voor zover ik weet kun je in de experiabox geen dns entries zelf toevoegen.

Je kunt wel een eigen dns server opzetten (eventueel in combinatie met ad filter) zoals pihole. Je kunt in de experiabox dan instellen bij de dhcp instellingen wat de interne dns server is. Dan hoef je niet op elk apparaat het host bestand aan te passen.

Let wel op dat je moeilijk een geldig certificaat kunt koppelen aan diensten die niet publiekelijk bereikbaar zijn. De meeste willen toch via ssl/https verbinden.

DutchKel schreef op maandag 13 november 2023 @ 12:17:
Let wel op dat je moeilijk een geldig certificaat kunt koppelen aan diensten die niet publiekelijk bereikbaar zijn. De meeste willen toch via ssl/https verbinden.

Dan maak je gewoon je eigen Root CA en importeert dat certificaat in je apparaten thuis en zet vervolgens self-signed certificaten (van die Root CA) op je interne sites.

zet ze in je publieke dns met ip adres 192.168.2.20 ?

DutchKel schreef op maandag 13 november 2023 @ 12:17:
Let wel op dat je moeilijk een geldig certificaat kunt koppelen aan diensten die niet publiekelijk bereikbaar zijn. De meeste willen toch via ssl/https verbinden.

Met o.a. LetsEncrypt kan dat gewoon dmv dns-challenge. En bij het aanvragen van een traditioneel certificaat wordt niet eens gekeken naar de bereikbaarheid, het gaat er alleen maar om dat jij de houder van het domein bent.

[ Voor 20% gewijzigd door DataGhost op 13-11-2023 13:39 ]

Ik gebruik een EdgeRouter X als router.
Deze kan ook als simpele DNS werken (lijstje van naam - IP adres).
Ik heb een domeinnaam bij een provider gekocht.
Intern gebruik ik Let's Encrypt certificaten.
Ik gebruik Acme script om de certificaten te vernieuwen: https://github.com/acmesh-official/acme.sh
Deze gebruikt de DNS API van mijn provider om de echtheid van de domeinnaam te verifieren.

DataGhost schreef op maandag 13 november 2023 @ 13:39:
[...]

Met o.a. LetsEncrypt kan dat gewoon dmv dns-challenge.

Moet je wel een DNS host hebben die dat ondersteunt

RobIII schreef op maandag 13 november 2023 @ 13:45:
[...]

Moet je wel een DNS host hebben die dat ondersteunt

De realiteit zal niet zo mooi zijn maar ik hoop dat bedrijven die geen APIs aanbieden in 2023 toch behoorlijk zijn uitgestorven.

DataGhost schreef op maandag 13 november 2023 @ 14:20:
[...]

De realiteit zal niet zo mooi zijn maar ik hoop dat bedrijven die geen APIs aanbieden in 2023 toch behoorlijk zijn uitgestorven.

HansKazandloper schreef op maandag 13 november 2023 @ 14:33:
Ik heb een domein gekocht via vimexx. simpel domein, verder geen poespas. Het enige wat ik wil is een SSL cert die ik kan inladen inderdaad in NGINX en kan koppelen aan de services die ik heb.

Vervelend om te horen dat ik de dns entries niet via KPN kan aanmaken. Ik ga Pi-Hole wel installeren en mijn KPN dns omzetten naar het IP van PI-hole, draait allemaal wel op dezelfde nuc, kan ik via KPN wel een ip instellen inclusief port of gewoon naar het IP van de nuc wijzen?

Op de Xperiabox hoef je alleen de portforwarding in te stellen, bij de DNS provider (vimexx dus) stel je de DNS in. Je kunt daar "gewoon" ook de interne IP's opgeven, al hoeft dat niet, gezien je Pi-Hole gaat draaien. Dan kun je jouw domein ook daarin toevoegen en naar jouw interne IP's laten wijzen.

Al heeft KPN volgens mij "gewoon" local loopback, dus kun je ook de externe de DNS instellen. Lijkt me beter om zoiets op 1 plek te hebben in plaats van op twee plekken te moeten bijhouden. Mocht je extra zeker willen zijn, kun je via Nginx ook op IP-adres filteren.

Als jij een domein hebt, dan kan je natuurlijk ook de records aanpassen. Zorg dat je domeinen laat doorlopen naar jou ip. Definieer ook de subdomeinen (makkelijkst via *.domein.nl)

Dan hoef je op de modem alleen een portforward te maken naar het IP van je docker (port 443/80). Daar draai je dan bijvoorbeel Nxinx Proxy Manager, die de boel weer verbindt naar de juiste locaties. Nxing regelt ook gelijk je ssl certificaten. Volgens mij kan je ook makkelijk instellen of het alleen bereikbaar is voor intern of extern. Zo ben ik ook begonnen. Nu draai ik PfSense icm HAProxy.

Enige is de vraag of de modem NAT Loopback aan heeft staan.

Dit is een mooi startpunt:

[ Voor 10% gewijzigd door DRaakje op 13-11-2023 14:42 ]

HansKazandloper schreef op maandag 13 november 2023 @ 14:33:
Ik heb een domein gekocht via vimexx. simpel domein, verder geen poespas. Het enige wat ik wil is een SSL cert die ik kan inladen inderdaad in NGINX en kan koppelen aan de services die ik heb.

Vervelend om te horen dat ik de dns entries niet via KPN kan aanmaken. Ik ga Pi-Hole wel installeren en mijn KPN dns omzetten naar het IP van PI-hole, draait allemaal wel op dezelfde nuc, kan ik via KPN wel een ip instellen inclusief port of gewoon naar het IP van de nuc wijzen?

Kan bij vimexx zo te zien via een API en iemand heeft daar al een wrapper voor gemaakt om met LE te gebruiken: https://github.com/alphons/Vimexx_API. Dat hoef je dus alleen maar te gebruiken als je de boel niet naar buiten openzet, anders is het veel makkelijker om gewoon http-challenges te gebruiken.

[ Voor 9% gewijzigd door DataGhost op 13-11-2023 14:45 ]

HansKazandloper schreef op maandag 13 november 2023 @ 14:46:
[...]


Thanks voor je reactie.

Dus samengevat;

In vimexx een a record aanmaken naar mijn publieke IP? Vervolgens in mijn KPN modem een portforward maken naar 192.168.2.20, en in NGINX de losse domeinen aanmaken zoals portainer.famhans.nl inclusief port. Hoe krijg ik dan het SSL cert? Haal ik die automatisch op met de certbot die ingebakken zit in de docker compose of moet ik nog iets bij Vimexx doen?

Dat kan, als het domein echter enkel voor intern gebruik is en verder niet, kun je ook "gewoon" het interne IP-adres opgeven, dan hoef je Nginx niet te vertellen op IP-adres te controleren. Echter zul je dan nooit door derden op dat (sub)domein bereikbaar zijn.

[ Voor 4% gewijzigd door CH4OS op 13-11-2023 14:52 ]

HansKazandloper schreef op maandag 13 november 2023 @ 14:46:
[...]


Thanks voor je reactie.

Dus samengevat;

In vimexx een a record aanmaken naar mijn publieke IP? Vervolgens in mijn KPN modem een portforward maken naar 192.168.2.20, en in NGINX de losse domeinen aanmaken zoals portainer.famhans.nl inclusief port. Hoe krijg ik dan het SSL cert? Haal ik die automatisch op met de certbot die ingebakken zit in de docker compose of moet ik nog iets bij Vimexx doen?

Je kan Nginx dit laten doen, maar raad nginx proxy manager aan als tussenlaag.

Het komt erop neer dat je domein moet kloppen met waar het naar toe gaat. Dus nginx vraagt certificaat voor simpel.nl bij lets encrypt. Die controleert of die verbinding kan maken via dat domein en dan uitkomt bij de nginx die de request deed.

Als je een A-record naar het publieke IP aanmaakt en een portforward kan je als het goed is inderdaad makkelijk de "meegeleverde" certbot gebruiken. Daarmee wordt de boel dus wel toegankelijk van buitenaf, nu weet ik niet of je "wil" in "Ik wil deze services alleen intern kunnen benaderen, dus niet vanaf buiten" betekent dat je wilt dat het NIET van buitenaf bereikbaar is of dat dat je niet zoveel uitmaakt. Als het niet van buitenaf bereikbaar mag zijn kan je dat met wat configuratie oplossen waarmee je alsnog de http-challenge kan gebruiken, of je laat de hostnames doorverwijzen naar je interne IP waardoor er van buitenaf niemand op kan, maar dan moet je de dns-challenge gebruiken met de vimexx-api.

DRaakje schreef op maandag 13 november 2023 @ 14:53:
[...]


Je kan Nginx dit laten doen, maar raad nginx proxy manager aan als tussenlaag.

Het komt erop neer dat je domein moet kloppen met waar het naar toe gaat. Dus nginx vraagt certificaat voor simpel.nl bij lets encrypt. Die controleert of die verbinding kan maken via dat domein en dan uitkomt bij de nginx die de request deed.

Of, zoals eerder gezegd, als het alleen voor intern gebruik is, een eigen certificaat maken en die in de digital trust stores duwen. Vervolgens een cert maken dat 10+ jaar geldig is bijvoorbeeld. Het hoeft dus niet per se via LE's Certbot.

[ Voor 3% gewijzigd door CH4OS op 13-11-2023 14:57 ]

-

[ Voor 113% gewijzigd door Hoosje op 13-11-2023 15:58 ]